"Passwort" Folge 9: News von OCSP bis HIBP
In dieser Folge des Podcasts von heise security geht es um Pläne von Let's Encrypt, Probleme mit Secure Boot und einige andere Security-News der letzten Tage.
Passwort, der Podcast von heise security, erscheint in seiner neunten Episode. Die Hosts Christopher und Sylvester diskutieren eine Reihe von Security-News der letzten Tage. Nach einer kleinen Ergänzung zu CrowdStrike, dem Thema von letzter Woche, geht es mit der weltgrößten Zertifizierungsstelle Let's Encrypt los. Die hat angekündigt, das OpenOnline Certificate Status Protocol (OCSP) nicht mehr zu unterstützen – sobald Microsoft sie lässt. Die von Let's Encrypt angeführten Datenschutzprobleme sind durchaus gute Gründe, aber es ist auch einfach ein erheblicher Aufwand, OCSP-ResponderResolver zu betreiben. Christopher und Sylvester überlegen, inwieweit solche Überlegungen ebenfalls eine Rolle spielen könnten.
Vielen Dank für die Korrekturhinweise im Forum. Insbesondere heißt es Online Certificate Status Protocol, was Sylvester leider auch im Podcast falsch benennt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Um Public-Key-Infrastruktur (PKI) geht es auch am Ende der Folge, weil diverse namhafte Hersteller offenbar mit Secure-Boot-Keys geschlampft haben. Dabei plagen diese Technologie doch ohnehin auch schon grundsätzlichen Designschwächen und mangelhafte Planung. Von einem "Drama" schreibt Kollege Vahldiek von der c’t und die Hosts können dem nur zustimmen. Da wünscht man sich fast, doch noch mehr über Web-PKI zu reden. Dort fliegen schludrige Zertifizierungsstellen wenigstens aus den Browsern.
Christopher und Sylvester besprechen noch diverse weitere Themen, wie einen Passwort-Check bei GMX und Web.de und grundsätzliche Probleme von Blockchain-Projekten – anlässlich eines aktuellen, besonders teuren Malheurs bei der Kryptobörse WazirX. (Nach Aufnahme des Podcasts wurde bekannt, dass die Kunden erstmal auf dem Schaden sitzen bleiben.) Außerdem reden die Hosts über eine interessante Lücke im Software-Urgestein GhostScript. Das kann nämlich nicht nur PDFs verarbeiten – und steckt daher in ziemlichen vielen Softwareprojekten –, sondern auch PostScript, wie der Name nahelegt. Und PostScript ist weit mehr als eine Beschreibungssprache für Dokumente, wie man leicht meinen könnten.
Die neue Folge von "Passwort – der heise security Podcast" steht seit dem heutigen Mittwoch zum Download auf allen Podcast-Plattformen bereit.
(syt)
